Politica di divulgazione delle vulnerabilità

1. Introduzione

Trading Point Group (di seguito "Trading Point") riconosce la necessità di rivolgersi alla comunità di cibersicurezza per proteggere le informazioni dei clienti e collaborare per la creazione di soluzioni e applicazioni più sicure. Questa politica mira a fornire ai ricercatori di falle di sicurezza delle chiare linee guida per condurre attività di scoperta delle vulnerabilità, indicando le nostre preferenze per inviarci le vulnerabilità che sono state identificate.

Invitiamo i ricercatori a segnalare volontariamente le vulnerabilità legate ai sistemi di Trading Point che potrebbero individuare. Questa politica descrive quali sistemi e tipi di ricerca sono coperti da questa politica e come inviarci le segnalazioni di vulnerabilità.

L'invio delle segnalazioni di vulnerabilità è soggetto ai termini e condizioni stabiliti in questa pagina; inviando una segnalazione di vulnerabilità a Trading Point, i ricercatori dichiarano di avere letto e accettato questi termini e condizioni.

2. Termini e condizioni

2.1. Safe Harbor / Autorizzazione

Quando compi ricerche di vulnerabilità mostrando di compiere sforzi in buona fede per rispettare questa politica, consideriamo la tua ricerca come:

  • Autorizzata relativamente a qualsiasi legge anti-hacker applicabile; non consiglieremo né prenderemo azioni legali nei tuoi confronti per le ricerche che compi.

  • Autorizzata relativamente a qualsiasi legge anti-aggiramento; non presenteremo un reclamo nei tuoi confronti per l'aggiramento dei controlli tecnologici.

  • Legale, utile per la sicurezza generale di internet e condotta in buona fede.

Hai l'obbligo di rispettare tutte le leggi applicabili. Nel caso una terza parte avvii azioni legali nei tuoi confronti per attività che hai condotto in buona fede e nel rispetto di questa politica, renderemo nota la nostra autorizzazione.

Se in qualsiasi momento hai preoccupazioni o dubbi relativamente alla conformità della tua ricerca nel rispetto di questa politica, ti invitamo a inviarci una segnalazione utilizzando uno dei nostri Canali Ufficiali (come stabiliti in seguito) prima di procedere.

Ti preghiamo di notare che Safe Harbor si applica solamente alle azioni legali sotto il controllo dell'organizzazione coinvolta in questa politica; la politica non vincola terze parti indipendenti.

2.2 Linee guida

In base a questa politica, per "ricerca" si intendono attività nelle quali:

  • Ci notifichi appena possibile della scoperta di una falla di sicurezza reale o potenziale.

  • Compi ogni sforzo per evitare violazioni della privacy, il peggioramento dell'esperienza cliente, interruzioni ai sistemi di produzione e distruzione o manipolazione dei dati.

  • Utilizzi gli exploit unicamente allo scopo di confermare la presenza di una vulnerabilità. Non utilizzi gli exploit per compromettere o esfiltrare informazioni, impostare linee di comando persistenti per l'accesso oppure per passare ad altri sistemi.

Inoltre:

  • Devi rispettare le regole, incluse quelle stabilite da questa politica e da altri accordi rilevanti. Nel caso ci sia un'inconsistenza tra questa politica e altri termini applicabili, prevarranno i termini di questa politica.

  • Devi interagire solamente con i tuoi conti attivati per compiere i test.

  • Devi limitarti a creare 2 (due) conti in totale per qualsiasi test.

  • Devi utilizzare solamente i Canali Ufficiali per segnalare e/o discutere con noi informazioni legate alla vulnerabilità.

  • Devi inviare una vulnerabilità per segnalazione, a meno che non sia necessario integrare diverse vulnerabilità per dimostrarne l'impatto.

  • Devi eliminare in modo sicuro tutte le informazioni raccolte durante la ricerca dopo avere inviato la segnalazione.

  • Devi procedere ai test unicamente sui sistemi interessati, rispettando i sistemi e le attività che non lo sono.

  • Devi evitare l'utilizzo di strumenti di scansione ad alta intensità invasivi o automatizzati per individuare le vulnerabilità.

  • Non devi divulgare pubblicamente qualsiasi tipo di vulnerabilità senza il previo consenso scritto di Trading Point.

  • Non devi effettuare attacchi DoS (Denial of Service).

  • Non devi effettuare attacchi all'ingegneria sociale e/o alla sicurezza fisica di uffici, utenti e dipendenti di Trading Point.

  • Non devi effettuare test automatizzati/script di moduli web, in particolare i moduli "Contattaci" che sono creati in modo che i clienti possano mettersi in contatto con il nostro servizio di assistenza.

Nel momento in cui stabilisci l'esistenza di una vulnerabilità, oppure ti imbatti non intenzionalmente in dati sensibili (inclusi dati personali, informazioni finanziarie, informazioni protette oppure segreti commerciali di qualsiasi entità), devi interrompere il test, notificarci immediatamente e non divulgare in alcun modo queste informazioni. Devi anche limitare il tuo accesso ai minimi dati necessari per dimostrare in modo efficace un Proof of Concept.

2.3. Riportare una vulnerabilità / Canali ufficiali

Ti invitiamo a segnalare falle di sicurezza / attuali o potenziali problemi di vulnerabilità scrivendo a vulnerability.disclosure@xm.com , fornendo tutte le informazioni rilevanti. Più dettagli indichi, più facile sarà per noi testare e risolvere il problema.

Per aiutarci a testare e dare la priorità alle segnalazioni inviate, è necessario che le tue segnalazioni:

  • Descrivano l'ubicazione o il percorso dell'applicazione dove è stata rilevata la vulnerabilità, e il potenziale impatto del suo sfruttamento.

  • Forniscano una descrizione dettagliata dei passi necessari per ripetere la vulnerabilità (script di Proof of Concept o schermate possono aiutare).

  • Includano il maggior numero possibile di dettagli.

  • Indichino l'indirizzo IP dal quale hai effettuato il test, l'indirizzo email, user agent e nome utente (o nomi) utilizzato nella piattaforma di trading (quando applicabile).

  • Siano in inglese, se possibile.

Se pensi che la vulnerabilità sia grave o che contenga informazioni sensibili, puoi inviare al nostro team un'email crittografata PGP utilizzando la nostra chiave dedicata.

2.4. Portata

a) Sistemi e servizi interessati

Domini

https://www.xm.comhttps://my.xm.com

App Android

Applicazione XM Android (com.xm.webapp)

App iOS

Applicazione XM iOS (id1072084799)

b) Sistemi e servizi non interessati

Qualsiasi servizio (come i servizi collegati), sistema o dominio non specificamente indicato nella sezione "Sistemi e servizi interessati" di cui sopra è escluso dallo scopo; allo stesso modo è vietato qualsiasi test sugli stessi. Inoltre, le vulnerabilità presenti nei sistemi dei nostri fornitori sono estranee allo scopo di questa politica e devono essere segnalate direttamente ai fornitori in conformità con la loro politica di divulgazione, se presente. Nel caso tu non sappia se un sistema sia o meno interessato ai test, contattaci scrivendo a vulnerability.disclosure@xm.com.

c) Vulnerabilità interessate

  • SQL injection

  • Cross-Site Scripting (XSS)

  • Remote code execution (RCE)

  • Server-Side Request Forgery (SSRF)

  • Broken authentication and session management

  • Insecure Direct Object Reference (IDOR)

  • Sensitive data exposure

  • Directory/Path traversal

  • Local/Remote File Inclusion

  • Cross-Site Request Forgery (CSRF) con un impatto significativo dimostrabile

  • Open redirect su parametri sensibili

  • Acquisizioni di sottodominio (in questi casi, aggiungere un messaggio amichevole come: "Ci stiamo lavorando e torneremo presto.")

d) Vulnerabilità non interessate

Alcune vulnerabilità non sono interessate al programma di divulgazione delle vulnerabilità. Queste vulnerabilità includono, tra le altre:

  • Problemi di configurazione email, incluse le impostazione SPF, DKIM e DMARC

  • Vulnerabilità di clickjacking che non causano azioni sensibili come la modifica di un conto

  • Self-XSS (quando un utente viene ingannato a incollare del codice nel suo browser web)

  • Spoofing dei contenuti con un impatto minimo (es., injection di testo non HTML)

  • Cross-Site Request Forgery (CSRF) con un impatto minimo (es. CSRF nei moduli di login e logout)

  • Open redirect, a meno che non sia dimostrabile un impatto aggiuntivo sulla sicurezza

  • Attacchi CRLF con un impatto minimo

  • Iniezioni dell'header HTTP con un impatto minimo

  • Mancanza di flag HttpOnly o Secure su cookie non sensibili

  • Mancanza delle best practice per configurazione e cifrari SSL/TLS

  • Intestazioni HTTP di sicurezza mancanti o male configurate (es. CSP, HSTS)

  • Moduli senza controlli Captcha

  • Enumerazione di nome utente/email attraverso un messaggio di errore nella pagina di login

  • Enumerazione di nome utente/email attraverso un messaggio di errore di Password dimenticata

  • Problemi che richiedono un'improbabile interazione dell'utente

  • Complessità della password o altri problemi legati alle politiche che regolano conto o password

  • Mancanza della scadenza della sessione

  • Attacchi di forza bruta

  • Problemi di rate limiting per azioni non critiche

  • Vulnerabilità di WordPress senza prove di sfruttabilità

  • Divulgazione di versioni vulnerabili di un software senza prove di sfruttabilità

  • Qualsiasi attività che potrebbe portare a interruzioni del nostro servizio (DoS)

  • Mancanza di protezione del root / Aggiramento della protezione del root (applicazioni mobili)

  • Mancanza di pinning del certificato SSL / Aggiramento del pinning del certificato SSL (applicazioni mobili)

  • Mancanza di offuscamento del codice (applicazioni mobili)

2.5. Tempi di risposta

Trading Point si impegna a collaborare con te nel modo più aperto e rapido possibile, e a compiere ogni sforzo per rispettare i seguenti target di risposta per i ricercatori che partecipano al nostro programma:

  • La tempistica per la prima risposta (dalla data dell'invio della segnalazione) è di 3 (tre) giorni lavorativi. Entro tre giorni lavorativi confermeremo la ricezione della tua segnalazione.

  • La tempistica per il triage (dall'invio della segnalazione) è di 5 (cinque) giorni lavorativi.

Ti confermeremo, al meglio delle nostre capacità, l'esistenza della vulnerabilità e manterremo la massima trasparenza possibile relativamente alle azioni che stiamo prendendo durante la procedura di rimedio, oltre ai problemi o alle sfide che potrebbero ritardare la risoluzione del problema. Cercheremo di trasmetterti tutte le informazioni relative ai nostri progressi durante la procedura.

3. Compensi

Diamo importanza alle persone che dedicano tempo e sforzi per segnalare vulnerabilità alla sicurezza in base a questa politica. Tuttavia, attualmente non offriamo compensi per la divulgazione delle vulnerabilità. Questa situazione potrà cambiare in futuro.

4. Feedback

Se desideri fornire feedback o suggerimenti per questa politica, ti invitiamo a contattarci scrivendo a vulnerability.disclosure@xm.com.

Ti ringraziamo per aiutarci a mantenere sicuri Trading Point e i nostri utenti.

5. Chiave PGP

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

Nota: ti preghiamo di crittografare i tuoi messaggi con la chiave PGP sopra indicata, includendo nell'email la tua chiave pubblica.